本文探讨了Discuz!登录验证机制,重点分析了基于cookie的认证过程,特别是authkey的生成与浏览器特征值结合的方式。此外,文章还提到了与WordPress对比的安全隐患,指出cookie的明文传输在局域网内的风险以及session认证的局限性。通过研究Discuz!的实现,为解决管理员身份验证与系统安全问题提供了参考。
在构建我的vita系统的过程中,发现管理员管理的便捷与系统安全隐患之间的矛盾
全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输
在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,
在这种情况下,等于站点被人xxx了
phperz~com
另一种情况就是利用session来进行管理员身份的认证,但是由于php天生对于session的处理机制的问题,不能长时间保存,利用数据库构建的session系统开销太大,在这种情况下,我就只好先研究先下大家是怎么做的
www.phperz.com
于是分析了Discuz!的登陆验证机制
www~phperz~com
每个Discuz!论坛都有一个特定的authkey也就是Discuz!程序中的$_DCACHE[’settings’][’authkey’]并且与用户的浏览器特征值HTTP_USER_AGENT一起组成了discuz_auth_key这个变量如下代码:
commone.inc.php文件大概130行左右 php程序员站
| 以下为引用的内容: $discuz_auth_key = md5($_DCACHE['settings']['authkey'].$_SERVER[' |
最低0.47元/天 解锁文章
6571
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
